Hoe maak ik mijn loonadministratie en klantbeheer hackerproof?

Ik heb eerder expertblogs geschreven over de Algemene Verordening Gegevensbescherming (AVG) die in mei ingaat. Deze nieuwe privacyvoorschriften vereisen ook dat iedere ondernemer technische beveiligingsmaatregelen neemt.

Want instellen van een strengere procedure om in te loggen op bijvoorbeeld een webprogramma voor boekhouding of loonadministratie kan een hoop ellende voorkomen.

Meestal als je inlogt op een afgeschermde website of webapplicatie maak je eerst kenbaar wie je bent met je inlognaam en vervolgens geef je je wachtwoord. Het wachtwoord is ter authenticatie, oftewel om te bewijzen dat je ook écht bent wie je zegt te zijn.

Onlangs was een grootschalige fraude met DigiD in het nieuws. Wachtwoorden werden uit brievenbussen gevist en tezamen met de inlognaam kon – ten koste van de DigiD-houder – fraude worden gepleegd.

We willen uiteraard fraude voorkomen. Maar ook een zorgvuldige verwerking van persoonsgegevens vereist een goede beveiliging. Zeker als het om gevoelige persoonsgegevens gaat, bijvoorbeeld wanneer ze ook medische of financiële informatie bevatten. Deze plicht volgt ook uit de AVG. Momenteel voldoet de enkele factor van een wachtwoord niet altijd meer en is extra beveiliging nodig.

Twee-factor authenticatie, afgekort 2FA, is een manier om extra beveiliging toe te voegen. Dit gebeurt door er behalve een wachtwoord (de eerste factor) ook nog een andere code of signaal (de tweede factor) aan toe te voegen. Inloggen kan dan alleen met een code die enkel gegeven kan worden door de houder van een bepaalde mobiele telefoon of andere codegenerator. Een bekend voorbeeld van deze laatste is de 'calculator' van banken. Die genereert een code om een transactie te mogen doen.

Wordt een wachtwoord gestolen, dan zou in een normaal geval iemand deze kunnen gebruiken om in te loggen. Als een loginprocedure met een extra factor is ingesteld, dan is ook de extra code nodig. Dat betekent dat onbevoegden ook toegang tot de telefoon of de 'calculator' moeten hebben én deze kunnen gebruiken met het wachtwoord of de pincode.

In de praktijk is het vrij eenvoudig om 2FA toe te voegen aan bijvoorbeeld de online boekhouding of loonadministratie. Voor online bankieren zijn we dit al gewend. Ook grote softwarebedrijven als Microsoft en Google bieden aan de inlogprocedure te beveiligen met een tweede factor. Hiervoor kunnen handige apps worden geïnstalleerd op de mobiele telefoon, zoals Microsoft Authenticator, Google Authenticator of Authy. Ook zijn er hardware-oplossingen, zoals kaartlezers of usb-sleutels.

Belangrijke bedrijfsprocessen worden steeds meer online afgehandeld. Om bedrijfs- en persoonsgegevens te beschermen tegen fraude en datalekken is het goed om de mogelijkheden van twee-factor authenticatie te onderzoeken.

Na deze stappen bent je beter gewapend tegen fraude. In volgende Xpertblogs meer praktische tips.